보안 예산 및 인력 투자 기존보다 2배 이상씩 늘 것으로 전망
은행들은 농협의 전산망 마비사태 이후 IT모범규준에 따른 내부통제 강화에 집중하고 있다. 올해는 출입통제 강화를 비롯해 운영자들의 공용 계정을 개인계정화 하고 서버 계정관리, 패스워드 관리, 접근통제 및 로그관리, OTP시간 단축, USB통제 등 IT인력들에 대한 시스템 개발 및 접속 시 통제를 일제히 대폭 강화했다. 뿐만 아니라 일부 은행은 유해사이트 및 비업무용 사이트를 차단하고, 첨부파일에 대한 로그관리를 철저히 하기 위해 외부 메일을 차단하는 등 내부통제를 개선했다.
은행 관계자는 "보안USB를 도입해 쓰기 기능은 안 되고 읽기만 되게 했다. 만약에 쓰기 기능이 필요하다면 부서장이나 팀장의 결재를 받아야 쓸 수 있고 이 경우에도 10분만 허용하고 더 이용하려면 재결재를 받아야 하므로 번거롭기 때문에 직원들의 USB 사용 자체가 줄게 됐다"고 전했다.
내년에도 올해 이어 내부통제 강화에 중점을 둔다고 밝힌 곳이 많았다. 전산센터에 검색대 설치, 각종 반·출입 통제 강화 외에도 PC단으로 내부통제 영역을 확대한다는 것. 특히, 개인정보보호와도 맞물려서 데이터유출방지시스템(DLP)를 활용해 메일, 메신저, 네트워크 구간, PC단 통제를 한층 강화하다는 계획이다.
DLP, VDI 등 활용한 PC단 통제 강화
은행들 대부분이 내년에는 개인정보보호법 대응을 위해 개인정보 유·노출 탐지체계 구축, 데이터유출방지(DLP) 솔루션 도입, PC 내 개인정보탐지시스템 도입, 연수원· 콜센터 등 고객정보유출 소지가 있는 장소 및 전산 인력들에 대한 데스크톱가상화기술(VDI) 기반의 망 분리 추진, 식별 번호에 대한 DB암호화 등에 투자를 할 예정이다.
은행들 가운데는 이미 개인정보보호법 관련 고객정보 유출 현황 파악을 위한 프로젝트를 진행했거나 진행 중인 곳도 있다. 개인정보를 얼마나 보유하고 있는지 현황을 파악해 관리하고 유출 시 통제하거나 승인 프로세스를 거치게 한다는 것.
은행 관계자는 "금융회사다 보니 PC단에 고객정보가 없을 수가 없다. 텔러부터 지점장 등 모든 사람들이 개인정보 취급자이다"라며 "거래화면, 동의서 받는 부분 등 개인정보보호 영역이 무척 방대할 뿐만 아니라, 비즈니스 및 정책 분석과 함께 기술적인 부분의 커버가 동시에 이뤄져야 한다"고 설명했다.
한편, 은행권에서는 여전히 내부망에 저장된 중요 개인정보에 대한 DB암호화에 대해 적극적인 움직임을 보이고 있지 않다. 암호화가 상위 보안 수단임을 인지하고 있지만 서비스 리스크와 막대한 비용을 감수하면서 진행 할 정도로 효율성이 있느냐에 대해 회의적이라는 입장이다. 은행들은 DB암호화에 상응하는 보안 대책을 이미 마련해 놓고 있으며, 은행 서비스의 가용성에 영향을 크게 미칠 수 있기 때문에 '해도 같이 하고, 안 해도 같이 안 한다'는 고도의 눈치작전을 취하고 있다.
은행의 보안담당자는 "DB암호화는 은행 거래 시 일어나는 트랜잭션과 직접 관련이 있어서 금융위를 통해 이행하기 어렵다고 전달했다. 은행권의 경우 DB암호화 보다 서비스 가용성을 고려해 채널 최소화 및 통제 방안으로 가는 게 맞다"며 "이미 DB접근통제를 하고 있고 사전승인 등 DB보안 체계를 갖추고 있다. 특히, 클라이언트 단으로 데이터가 내려왔을 때가 정보유출 우려가 큰데 PC내 영역보안을 적용했고 밖으로 나갈 때 암호화해 내보내고 있다"고 말했다.
<자세한 내용은 컴퓨터월드 12월호 참조>
김정은 기자
jekim92@itdaily.kr